情报背景
近期sophos的研究人员发现了名为AvosLocker的新勒索软件团伙。攻击者利用安全产品无法运行于安全模式下的防护缺失规避检测,并利用例外配置保持对目标的远程控制能力。”安全模式“不再安全,而是为攻击者所用。
组织名称 |
Avos Locker |
战术标签 |
防御规避 |
技术标签 |
安全模式、防御削弱 |
情报来源 |
https://news.sophos.com/en-us/2021/12/22/avos-locker-remotely-accesses-boxes-even-running-in-safe-mode/ |
01 攻击技术分析
亮点:利用安全模式规避安全产品
安全模式是Windows操作系统为系统维护与诊断而添加的功能,在该模式下仅有有限的核心系统服务与驱动会被加载。由于缺失必要的服务与驱动,大部分安全产品无法正常工作,这为攻击者带来了可乘之机。
攻击者在完成了包括启用自动登录、禁用安全产品功能、设置下次引导启动命令等一系列准备后,使用bcdedit命令修改启动配置重启进入安全模式。攻击者选择带网络的安全模式,以便在勒索软件未正常运行时,通过远程接入完成对受害机器的远程控制。
#设置下次启动时一次性执行的恶意命令,键值中的命令执行后将被删除
reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce ...
#设置默认引导项为带网络的安全模式(network)
bcdedit /set {default} safeboot network & shutdown -r -t 0
篡改例外配置辅助攻击
攻击者除了利用安全模式规避安全产品的检测外,还主动篡改安全模式的例外配置达成两方面的目标:添加攻击所需服务例外,最大限度地减少对自身攻击行动的影响;篡改已有配置,进一步破坏安全产品可用性。
为了在安全模式中也能使用AnyDesktop远程控制软件控制目标机器,攻击者为AnyDesktop服务添加了带网络的安全模式(Network)下的例外。
xxxxxxxxxx reg add HKLMSYSTEMCurrentControlSetControlSafeBootNetworkAnyDesk /t REG_SZ /d Service /f
相对应的修改”…SafeBootMinimal”下的键值则可为普通安全模式添加例外。能够设置的例外项也不止是应用与服务,还可通过添加数据为“Driver”的键值,来添加可在安全执行的白名单驱动。
# 在最小化安全模式中添加例外
reg add HKLMSYSTEMCurrentControlSetControlSafeBootMinimalAnyDesk /v Service /t REG_SZ
除了添加攻击过程所需的例外服务和驱动外,攻击还通过对已有的例外配置进行篡改,确保这些安全产品在安全模式下无法工作。
# 删除Bitdefender安全软件服务在带网络的安全模式下的例外
reg delete HKLMSYSTEMCurrentControlSetControlSafeBootNetworkCbDefense /f
02 总结
安全模式对第三方服务与驱动的限制原本是为了系统安全,安全产品的防护缺位却反为攻击者创造了机会窗口。利用安全模式的攻击事件并非首例,利用手法也愈发精细化,篡改安全模式的例外配置给攻击工具”开后门“,并进一步打击安全产品的”组合拳“值得警惕。
绿盟科技M01N战队专注于Red Team、APT等高级攻击技术、战术及威胁研究,涉及Web安全、终端安全、AD安全、云安全等相关领域。通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。
M01N Team
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
原文始发于微信公众号(M01N Team):攻击技术研判|利用安全模式突破安全产品防线